Preguntas con etiqueta 'forensics'

1
respuesta

Cómo buscar un archivo que se ha dividido en segmentos en una instantánea de memoria

Tengo una instantánea de la memoria de un dispositivo cargado en FTK Imager. También tengo un archivo, específicamente una imagen (JPG) como archivo en mi computadora. Sé que este archivo está presente en la instantánea de la memoria, pero es...
hecha 06.07.2017 - 03:24
1
respuesta

¿Es posible evitar que VirtualBox (u otra VM) deje rastros en el host?

El contexto: ya uso FDE en la unidad de mi sistema (cifrado seguro, contraseña larga e indiscutible, etc.), pero en caso de que me roben la contraseña o mi computadora arranque en frío, quiero evitar cualquier adversario potencial (supongamos qu...
hecha 29.05.2017 - 02:38
2
respuestas

Volumen NTFS no reconocido por autopsia

Al usar dcfldd, he creado una imagen de un disco de un volumen duplicado win10. La autopsia no lo reconoce como un sistema de archivos NTFS, sino que muestra "SFS" o "sistema de archivos seguro". La máquina de destino está, de hecho, utili...
hecha 13.06.2017 - 14:02
1
respuesta

Capturar un hash de un archivo de base de datos de sqllite3 sospechoso

Tengo un archivo .db que está cifrado cuando se abre con DB Browser para SQLite, ya que solicita una contraseña que no se conoce. Estoy intentando obtener el hash y el tipo de hash para este archivo, ya que sé que se ha realizado utilizando SQLC...
hecha 23.02.2017 - 16:18
1
respuesta

Romper el anonimato en un Kippo honeypot

He instalado un Kippo honeypot en mi servidor y quería saber si hay algunas herramientas que puedo iniciar para recopilar más información sobre el cracker. Quiero más información para poder iniciar algunas cosas forenses.     
hecha 15.03.2017 - 09:04
1
respuesta

¿Qué métodos existen para usar una base de datos encriptada para realizar un registro que sea legal y legalmente confiable?

Estoy investigando el registro de manera que pueda ser usado legalmente y también de forma forense confiable. He visto discusiones sobre el registro remoto, el encadenamiento de hash, el encadenamiento de la marca de tiempo, los medios de escrit...
hecha 26.10.2016 - 17:37
1
respuesta

¿Alternativas al bloqueo de direcciones IP sospechosas?

Creo que todas las empresas utilizan el mismo proceso de bloqueo de direcciones IP que generan tráfico sospechoso como una forma de mitigar los ataques. Sin embargo, ese es un proceso interminable de perseguir a los atacantes en lugar de estar u...
hecha 22.09.2016 - 16:27
1
respuesta

Directorio de Complementos de Volatilidad usando Windows

Estoy tratando de usar un complemento (no integrado) con volatilidad 2.4 pero tengo problemas con la sintaxis. Sé que al menos para el python nativo (vol.py) la opción de complementos debe especificarse directamente después de vol.py. He intenta...
hecha 11.10.2015 - 20:01
1
respuesta

Copia forense, dcfldd

dcfldd a menudo se recomienda en medicina forense para duplicar discos duros. Una de las razones por las que se prefiere dcfldd sobre dd es la función de hashing sobre la marcha. P: ¿puedo realmente confiar en esta func...
hecha 19.09.2015 - 18:13
1
respuesta

Detectando la fuente de inyección dll

¿Es posible determinar el proceso que realizó la inyección de DLL contra un proceso víctima?     
hecha 04.08.2015 - 06:19